این آسیبپذیری، به دلیل اعتبارسنجی نامناسب ورودی URLها در درخواستهای HTTP رخ میدهد. هکرها برای حمله، درخواستهای HTTP دستکاری شده را که شامل دنباله کاراکترهای پیمایش مسیر (Directory Traversal) میباشند به سیستم هدف ارسال میکنند. اکسپلویت آسیبپذیری، امکان مشاهده اسناد دلخواه هکر را در سیستم هدف فراهم میسازد.
آسیبپذیری مذکور در صورتی محصولات سیسکو را تحت تأثیر قرار میدهد که این محصولات، پیکربندیAnyConnect یا WebVPN را در نسخه آسیبپذیرCisco ASA Software یاCisco FTD Software استفاده کنند.
زمانیکه یک دستگاه آسیبپذیر با ویژگی WebVPN یا AnyConnect پیکربندی شود، فایلسیستم این وبسرویسها فعال میشود و هکرها میتوانند به فایلسیستمها دسترسی داشته باشند. با این حال، این آسیبپذیری نمیتواند برای دسترسی به فایلهای سیستم ASA یا FTD یا فایلهای سیستمعامل استفاده شود. فایلهای سرویسهای وب که هکر میتواند مشاهده کند ممکن است حاوی اطلاعاتی مانند پیکربندی WebVPN، bookmarkها، کوکیهای وب، بخشی از محتوای وب و URLهای HTTP باشد.
کاربرانی که از ویژگی SSL Decryption در سنسورهای Cisco Firepower استفاده میکنند، میتوانند با فعالسازی اسنورت Rule با استفاده از Firepower Management Center تلاش برای اکسپلوت آسیبپذیری را تشخیص داده و بلاک نمایند.
توجه به این نکته الزامیست که سیسکو نسبت به وجود کد اکسپلویت برای این آسیبپذیری و تلاش گسترده برای بهرهبرداری از آن هشدار داده است. بنابراین الزامی است تا کاربران هرچه سریعتر نسبت به استفاده از نسخههای وصله شده اقدام نمایند. نسخههای وصله شده نرمافزارهای ASA و FTD به ترتیب در جدولهای 1 و 2 معرفی شدهاند. جدول 3 نیز جزییات بیشتری در خصوص وصلههای نرم افزار FTD ارائه میدهد.
جدول 1- نرم افزارASA سیسکو
سری نسخه Cisco ASA |
آخرین نسخه بهروز شده فاقد آسیبپذیری |
نسخه قبل از 9.61 |
استفاده از نسخههای بدون آسیبپذیری |
9.6 |
9.6.4.42 |
9.71 |
استفاده از نسخههای بدون آسیبپذیری |
9.8 |
9.8.4.20 |
9.9 |
9.9.2.74 |
9.10 |
9.10.1.42 |
9.12 |
9.12.3.12 |
9.13 |
9.13.1.10 |
9.14 |
9.14.1.10 |
جدول 2- نرم افزار FDT سیسکو
سری نسخههای FTD |
آخرین نسخه بهروز شده فاقد آسیبپذیری |
پیشتر از 6.2.2 |
آسیب پذیر نیست. |
6.2.2 |
استفاده از نسخههای بدون آسیبپذیری |
6.2.3 |
6.2.3.16 |
6.3.0 |
استفاده از نسخه 6.4.0.9 یا استفاده از نسخه 6.6.0.1 یا استفاده از نسخه 6.3.0.5 یا استفاده از نسخه 6.3.0.6 (Fall 2020) |
6.4.0 |
استفاده از نسخه 6.4.0.9 یا استفاده از نسخه 6.4.0.10 (Fall 2020) |
6.5.0 |
استفاده از نسخه 6.6.0.1 یا استفاده از نسخه 6.5.0.4 یا استفاده از نسخه 6.5.0.5 (Fall 2020) |
6.6.0 |
6.6.0.1 |
جدول 3- جزئیات بیشتر برخی نسخه ها FTD
نسخه |
نام فایل |
6.3.0.5 |
Cisco_FTD_Hotfix_AV-6.3.0.6-3.sh.REL.tar Cisco_FTD_SSP_FP2K_Hotfix_AV-6.3.0.6-3.sh.REL.tar Cisco_FTD_SSP_Hotfix_AV-6.3.0.6-3.sh.REL.tar |
6.4.0.9 |
Cisco_FTD_Hotfix_BM-6.4.0.10-2.sh.REL.tar Cisco_FTD_SSP_FP1K_Hotfix_BM-6.4.0.10-2.sh.REL.tar Cisco_FTD_SSP_FP2K_Hotfix_BM-6.4.0.10-2.sh.REL.tar Cisco_FTD_SSP_Hotfix_BM-6.4.0.10-2.sh.REL.tar |
6.5.0.4 |
Cisco_FTD_Hotfix_O-6.5.0.5-3.sh.REL.tar Cisco_FTD_SSP_FP2K_Hotfix_O-6.5.0.5-3.sh.REL.tar Cisco_FTD_SSP_FP1K_Hotfix_O-6.5.0.5-3.sh.REL.tar Cisco_FTD_SSP_Hotfix_O-6.5.0.5-3.sh.REL.tar |
کاربران جهت بهروزرسانی و ارتقاء به یکی از نسخههای وصله شده نرمافزار FTD، میتوانند ازیکی از روشهای زیر استفاده نمایند.
- برای دستگاههایی که با استفاده از Firepower Management Center (FMC) مدیریت میشوند، از رابط FMC برای نصب نسخه وصله شده استفاده کنید. پس از اتمام نصب، سیاست کنترل دسترسی را مجددا اعمال نمایید.
- برای دستگاههایی که با Firepower Device Manager (FDM) مدیریت میشوند، از رابط FDM برای نصب نسخه وصله شده استفاده کنید. پس از اتمام نصب، سیاست کنترل دسترسی را مجددا اعمال نمایید.
آسیبپذیری موجود در رابط سرویسهای وب نرمافزارهای Cisco Adaptive Security Appliance (ASA) وCisco Firepower Threat Defense (FTD)، این امکان را برای مهاجم احراز هویت نشده فراهم میآورد تا از راه دور حملات Directory Traversal انجام داده و به فایلهای حساس سیستم هدف، دسترسی یابد. این آسیبپذیری با شناسه CVE-2020-3452 معرفی شده و براساس سیستم امتیاز دهی CVSSv3 دارای امتیاز 7.5 است.